Bagaimana dapat ditemukannya alamat IPv6 dan nama AAAA oleh penyerang potensial?


26

Merupakan standar untuk menerima sejumlah besar upaya peretasan kecil setiap hari untuk mencoba nama pengguna / kata sandi umum untuk layanan seperti SSH dan SMTP. Saya selalu menganggap upaya ini menggunakan ruang alamat "kecil" dari IPv4 untuk menebak alamat IP. Saya perhatikan bahwa saya mendapatkan nol upaya peretasan pada IPv6 meskipun domain saya memiliki catatan Nama AAAA yang mencerminkan setiap catatan Nama A dan semua layanan IPv4 juga terbuka untuk IPv6.

Dengan asumsi DNS publik (AWS route 53) dengan subdomain yang tidak jelas menunjuk ke akhiran / 64 yang cukup acak; Apakah alamat IPv6 dan / subdomain dari jarak jauh dapat ditemukan tanpa mencoba setiap alamat dalam awalan / 64 bit atau setiap subdomain dalam daftar nama umum yang sangat panjang?

Saya tentu saja sadar bahwa merayapi web untuk mencari (sub) nama domain cukup sederhana. Saya juga sadar bahwa mesin pada subnet yang sama dapat menggunakan NDP. Saya lebih tertarik pada apakah DNS atau protokol IPv6 yang mendasarinya memungkinkan penemuan / daftar domain dan alamat yang tidak dikenal dengan remote.



1
Ini terlihat seperti keamanan oleh ketidakjelasan ... Jika satu-satunya garis pertahanan Anda menggunakan (seharusnya) sulit untuk menemukan pengidentifikasi (baik nama atau alamat IP) maka Anda dapat berharap akan dilanggar di beberapa titik. Anda mungkin relatif aman terhadap eksploitasi generik / colekan acak, tetapi jika Anda harus bertahan melawan serangan aktif pada Anda maka garis pertahanan itu terputus. Ada banyak cara untuk menemukan nama "tidak jelas", lihat geekflare.com/find-subdomains sebagai permulaan
Patrick Mevzek

3
@ Patrick Jika Anda hanya memiliki satu garis pertahanan, Anda akan dilanggar periode. Saya masih tidak ingin pintu saya yang terkunci diiklankan ke seluruh dunia
Philip Couling

2
Tidak. Dengan kesimpulan saya sendiri, ini bukan satu-satunya jalur keamanan saya. Saya tidak pernah menyarankan sebaliknya.
Philip Couling

Jawaban:


34

Bot berbahaya tidak lagi menebak alamat IPv4. Mereka cukup mencoba semuanya. Pada sistem modern ini bisa memakan waktu hanya beberapa jam.

Dengan IPv6, ini tidak benar-benar mungkin lagi, seperti yang Anda duga. Ruang alamat jauh lebih besar sehingga bahkan tidak mungkin untuk memindai dengan paksa satu subnet / 64 dalam masa hidup manusia.

Bot harus menjadi lebih kreatif jika mereka ingin melanjutkan pemindaian buta pada IPv6 seperti pada IPv4, dan operator bot jahat harus terbiasa menunggu jauh lebih lama antara menemukan mesin apa pun, apalagi yang rentan.

Untungnya untuk orang jahat dan sayangnya untuk semua orang, adopsi IPv6 telah berjalan jauh lebih lambat dari yang seharusnya. IPv6 berusia 23 tahun tetapi hanya melihat adopsi yang signifikan dalam lima tahun terakhir. Tetapi semua orang menjaga jaringan IPv4 mereka aktif, dan sangat sedikit host yang hanya IPv6, sehingga operator bot jahat memiliki sedikit insentif untuk melakukan peralihan. Mereka mungkin tidak akan melakukan sampai ada ditinggalkannya IPv4 secara signifikan, yang mungkin tidak akan terjadi dalam lima tahun ke depan.

Saya berharap bahwa tebakan buta mungkin tidak akan produktif untuk bot jahat, ketika mereka akhirnya pindah ke IPv6, jadi mereka harus pindah ke cara lain, seperti nama DNS brute-forcing, atau brute-forcing subset kecil dari setiap subnet.

Misalnya, umum konfigurasi server DHCPv6 memberikan keluar alamat di ::100melalui ::1ffsecara default. Itu hanya 256 alamat untuk dicoba, dari keseluruhan / 64. Mengkonfigurasi ulang server DHCPv6 untuk memilih alamat dari rentang yang jauh lebih besar mengurangi masalah ini.

Dan menggunakan alamat EUI-64 yang dimodifikasi untuk SLAAC mengurangi ruang pencarian menjadi 2 24 dikalikan dengan jumlah OUI yang ditugaskan. Meskipun ini lebih dari 100 miliar alamat, ini jauh lebih sedikit dari 2 64 . Bot acak tidak akan repot-repot mencari ruang ini, tetapi aktor jahat tingkat negara akan, untuk serangan yang ditargetkan, terutama jika mereka dapat membuat tebakan yang terdidik tentang NIC yang mungkin digunakan, untuk mengurangi ruang pencarian lebih jauh. Menggunakan RFC 7217 alamat privasi stabil untuk SLAAC itu mudah (setidaknya pada sistem operasi modern yang mendukungnya) dan mengurangi risiko ini.

RFC 7707 menjelaskan beberapa cara lain di mana pengintaian dapat dilakukan dalam jaringan IPv6 untuk menemukan alamat IPv6, dan bagaimana cara mitigasi terhadap ancaman tersebut.


Banyak bot sudah SANGAT kreatif, dan kemungkinan ada pasar gelap besar untuk bot yang lebih baik, mungkin dengan akses bundel ke bot net mereka saat mereka sedang melakukannya. Bot yang tidak kreatif harus dengan mudah diblokir dengan metode apa pun yang Anda blokir dengan kreatif.
BeowulfNode42

1
Sebagian besar yang saya lihat adalah variasi bot non-kreatif. Meskipun itu adalah variasi kreatif yang membuat saya terjaga di malam hari. Untungnya saya memiliki klien yang membayar saya untuk kehilangan waktu tidur mereka. Yang mengatakan, saya belum melihat lalu lintas bot signifikan di IPv6, kreatif atau tidak.
Michael Hampton

Ya, saya baru-baru ini memperhatikan upaya bruit tersebar di bulan (nama pengguna atau kata sandi per hari) yang menyarankan setiap nama pengguna atau kata sandi dicoba terhadap setiap publik yang menghadapi server SSH di Internet (IPv4) sebelum pindah ke nama pengguna atau kata sandi berikutnya .
Philip Couling

8

Saya telah menemukan bahwa banyak bot hari ini tidak menebak, dengan IPv4 atau IPv6. Keamanan melalui ketidakjelasan sama sekali bukan keamanan. Ketidakjelasan hanya menunda / mengurangi jumlah serangan untuk sementara waktu, dan kemudian tidak relevan.

Peretas mengetahui nama domain perusahaan Anda dari situs web atau alamat email Anda, IP server publik apa yang Anda publikasikan untuk hal-hal seperti email, SPF, server web, dll. Meskipun mungkin butuh waktu sedikit lebih lama untuk mempelajari nama server acak, tetapi mereka akan menebak nama-nama umum, seperti www, mail, smtp, imap, pop, pop3, ns1, dll, lalu gosok situs web Anda untuk mendapatkan data tambahan yang dapat mereka temukan. Mereka akan mengambil dari penyimpanan scan sebelumnya nama DNS Anda, IP dan port apa yang menjadi fokus. Mereka juga akan mengambil daftar pasangan alamat email / kata sandi dari setiap pelanggaran data yang dapat mereka temukan dan mencoba semua login tersebut ditambah beberapa tambahan dengan sistem apa pun yang mereka pikir Anda jalankan di port Anda. Mereka bahkan pergi sejauh mempelajari nama dan peran pekerjaan staf Anda untuk mencoba dan melakukan serangan rekayasa sosial. Filter spam kami terus dibombardir dengan upaya oleh scammer yang mengaku sebagai seseorang dari manajemen yang membutuhkan transfer dana mendesak. Oh, mereka juga mengetahui siapa mitra bisnis Anda dan mengaku sebagai mereka, dan memberi tahu Anda rincian bank mereka telah berubah. Kadang-kadang mereka bahkan tahu platform cloud apa yang digunakan mitra bisnis Anda untuk faktur mereka.

Penjahat memiliki akses ke alat data besar sama seperti orang lain, dan mereka telah mengumpulkan sejumlah besar data. Lihat kesaksian ini oleh beberapa profesional TI untuk kongres AS https://www.troyhunt.com/heres-what-im-telling-us-congress-about-data-breaches/

Berbicara tentang pelanggaran data, jika suatu perusahaan kehilangan sesuatu bahkan seolah-olah tidak berguna seperti log server web, ini akan berisi alamat IP v4 atau v6 dari semua orang yang menggunakan server itu pada waktu itu, dan halaman apa yang mereka akses.

Kesimpulannya, tidak ada metode yang mengharuskan penyerang untuk menebak IP apa yang Anda gunakan, mereka sudah tahu.

Sunting : Sebagai sedikit latihan, saya menghabiskan 2 menit menjelajahi situs Anda (dari profil Anda), mencoba salah satu alat pindai online yang terhubung di tempat lain di sini, dan sedikit melihat-lihat dengan nslookup dan menemukan beberapa hal tentang Anda . Saya menduga bahwa salah satu alamat tidak jelas yang Anda bicarakan melibatkan

  • nama planet yang mirip dengan salah satu yang Anda publikasikan
  • bebas
  • dan alamat IPv6 yang berakhir dengan 2e85: eb7a
  • dan itu berjalan ssh

Karena sebagian besar alamat IPv6 Anda yang diterbitkan berakhir dengan :: 1. Ini hanya dari informasi yang Anda publikasikan dengan 1 tebakan kecil. Apakah ini dari IP yang ingin Anda sembunyikan?

Sunting 2 : Lihat sekilas lagi, saya melihat Anda mempublikasikan alamat email Anda di situs web Anda. Memeriksa situs https://haveibeenpwned.com/ untuk data apa yang melanggar alamat yang sudah ada dan data apa yang ada di pasar gelap. Saya melihat sudah melanggar

  • Adobe pelanggaran Oktober 2013: Data yang dikompromikan: Alamat email, petunjuk kata sandi, kata sandi, nama pengguna
  • MyFitnessPal: Pada bulan Februari 2018 Data yang dikompromikan: Alamat email, alamat IP, Kata sandi, Nama pengguna
  • MySpace: Pada sekitar 2008 data yang dikompromikan: Alamat email, Kata Sandi, Nama pengguna
  • PHP Freaks: Pada Oktober 2015 Data yang dikompromikan: Tanggal lahir, alamat Email, alamat IP, Kata sandi, Nama pengguna, Aktivitas situs web
  • QuinStreet: Sekitar akhir 2015 Data yang dikompromikan: Tanggal lahir, alamat Email, alamat IP, Kata sandi, Nama pengguna, Aktivitas situs web

Melihat apakah nama pengguna bagian dari alamat email digunakan di beberapa penyedia email populer lainnya, saya melihat ada lebih banyak data. Ini akan menjadi tebakan kecil yang bisa dilakukan bot. Jika beberapa dari itu berkorelasi dengan bagian yang sudah diketahui tentang Anda maka bot dapat berasumsi bahwa itu semua Anda, itu tidak harus pasti, kemungkinan cukup sudah cukup. Dengan data tambahan dalam pelanggaran ini

  • Verifications.io: Pada bulan Februari 2019 Data yang dikompromikan: Tanggal lahir, alamat Email, Pemberi Kerja, Jenis Kelamin, lokasi Geografis, alamat IP, jabatan, Nama, Nomor telepon, alamat fisik
  • Daftar Spam Media River City Pada Januari 2017 Data yang dikompromikan: Alamat email, alamat IP, Nama, alamat fisik
  • Apollo: Pada bulan Juli 2018, startup keterlibatan penjualan Data yang dikompromikan: Alamat email, Pengusaha, Lokasi geografis, Judul pekerjaan, Nama, Nomor telepon, Salam, Profil media sosial
  • Bisnis B2B USA Pada pertengahan 2017 Data yang dikompromikan: Alamat email, Pengusaha, jabatan, Nama, Nomor telepon, Alamat fisik
  • Bitly: Pada bulan Mei 2014 Data yang dikompromikan: Alamat email, Kata Sandi, Nama pengguna
  • Koleksi # 1 (tidak terverifikasi): Pada Januari 2019, koleksi besar daftar isian kredensial (kombinasi alamat email dan kata sandi yang digunakan untuk membajak akun di layanan lain) ditemukan didistribusikan di forum peretasan populer
  • Dropbox: Pada pertengahan 2012 Data yang dikompromikan: Alamat email, Kata Sandi
  • Exploit.In (tidak terverifikasi): Pada akhir 2016, daftar besar pasangan alamat email dan kata sandi muncul di "daftar kombo" yang disebut sebagai "Exploit.In"
  • HauteLook: Pertengahan 2018 Data yang dikompromikan: Tanggal lahir, alamat Email, Jenis Kelamin, lokasi Geografis, Nama, Kata Sandi
  • Pemiblanc (tidak terverifikasi): Pada April 2018, daftar isian kredensial yang berisi 111 juta alamat email dan kata sandi yang dikenal sebagai Pemiblanc ditemukan di server Prancis
  • ShareThis: Pada bulan Juli 2018 Data yang dikompromikan: Tanggal lahir, alamat Email, Nama, Kata Sandi
  • Ticketfly: Pada Mei 2018 Data yang dikompromikan: Alamat email, Nama, Nomor telepon, Alamat fisik

Sementara bot ada di sana, ia dapat memeriksa Facebook dan dapat melihat bahwa salah satu halaman facebook dengan nama Anda memiliki foto yang sama dengan di situs web Anda, dan sekarang bot itu tahu lebih banyak tentang Anda dan teman Anda. Ditambah lagi, saya menduga anggota keluarga yang Anda daftarkan adalah ibu Anda, yang mencantumkan "nama gadis ibu Anda". Dari Facebook juga dapat memverifikasi profil tertaut di mana milik Anda.

Ada lebih banyak informasi online tentang kita daripada yang disadari orang. Big data dan analisis pembelajaran mesin adalah nyata, ada di sini sekarang dan banyak data yang telah diposting atau bocor secara online dapat dikorelasikan dan digunakan. Yang harus Anda ketahui, mengingat saat Anda mendaftar bahwa Anda telah menyelesaikan gelar Sarjana dalam bidang AI dan ilmu komputer pada tahun 2003-2007. Banyak hal telah berjalan jauh sejak saat itu, terutama dengan kemajuan yang diterbitkan Google sejak akhir gelar Anda dan seterusnya. Orang-orang adalah orang, sebagian besar hanya akan mencari keuntungan dari Anda, dengan beberapa menggunakan data secara wajar dan legal, tetapi yang lain akan menggunakannya dengan cara apa pun yang mereka bisa.

Maksud saya dengan semua ini adalah dua kali lipat, bahwa kami menerbitkan lebih banyak informasi daripada yang kami pikir kami lakukan, dan seluruh titik DNS adalah untuk mempublikasikan konversi nama menjadi alamat IP.


6

Mengenai catatan AAAA:

DNS secara tradisional tidak terenkripsi. Meskipun ada keluarga standar (DNSSEC) untuk menandatangani DNS, enkripsi catatan DNS memiliki proses penyebaran yang jauh lebih serampangan, dan karenanya umumnya paling aman untuk mengasumsikan bahwa MitM apa pun dapat membaca semua permintaan DNS Anda kecuali Anda telah pergi keluar dari cara Anda untuk mengkonfigurasi DNS terenkripsi secara eksplisit di sisi klien. Anda akan tahu jika Anda melakukannya karena itu sangat sulit .

(Juga, peramban web Anda mungkin mengirimkan SNI yang tidak dienkripsi di jabat tangan TLS, setelah menyelesaikan domain. Tidak jelas bagaimana Anda akan memasang lubang ini, karena VPN atau Tor masih dapat di MitM antara pintu keluar simpul atau titik terminasi VPN dan server jarak jauh. Orang-orang baik di Cloudflare sedang berupaya memperbaiki masalah ini untuk selamanya, tetapi ESNI juga akan bergantung pada implementasi klien, terutama untuk Chrome , jika itu benar-benar turun dari tanah.)

Namun, serangan MitM mungkin atau mungkin tidak menjadi masalah, tergantung pada model ancaman Anda. Yang lebih penting adalah fakta sederhana bahwa nama DNS dimaksudkan untuk menjadi informasi publik. Banyak orang (mesin pencari, pencatat DNS, dll.) Mengumpulkan dan mempublikasikan nama DNS untuk alasan yang sepenuhnya tidak berbahaya. Penyelesai DNS biasanya menerapkan batas tingkat, tetapi batas ini biasanya cukup murah hati, karena mereka dimaksudkan untuk menghentikan serangan DoS, bukan penghitungan subdomain. Membuat sertifikat HTTPS sering melibatkan penerbitan nama domain untuk dilihat semua orang, tergantung pada CA ( Let's Encrypt melakukannya , dan begitu juga banyak lainnya). Dalam praktiknya, sangat tidak mungkin untuk menjaga kerahasiaan domain atau subdomain, karena hampir semua orang menganggapnya publik dan tidak berusaha menyembunyikannya.

Jadi, untuk menjawab pertanyaan ini:

Saya lebih tertarik pada apakah DNS atau protokol IPv6 yang mendasarinya memungkinkan penemuan / daftar domain dan alamat yang tidak dikenal dengan remote.

Secara teknis, tidak, tidak. Tapi itu tidak masalah karena sejumlah besar teknologi lapisan yang lebih tinggi hanya mengasumsikan catatan DNS Anda bersifat publik, sehingga publik pasti akan melakukannya.


1
SNI terenkripsi sedang dikembangkan. Berikan satu atau dua tahun.
Michael Hampton

1
@MichaelHampton: Saya percaya bahwa ESNI akan terjadi. Tetapi mengingat rekam jejak industri (DNSSEC, IPv6, DANE, ...) Saya agak skeptis bahwa "satu atau dua tahun" akan benar-benar mencukupi. Bagaimanapun, kita akan segera melihat.
Kevin

1
CloudFlare mendorongnya jadi saya akan bertaruh lebih cepat daripada nanti :)
Michael Hampton

Saya menemukan diri saya ingin mengatakan "ya tapi ..." untuk masing-masing contoh spesifik Anda, tetapi itu adalah hal yang sangat baik bahwa nama DNS umumnya dianggap informasi publik. +1
Philip Couling
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.